Hackare kan spränga fabriker med smartphoneappar

Eni | flickr





Många företag låter arbetare övervaka och hantera maskiner – och ibland hela industriella processer – via mobilappar. Apparna lovar effektivitetsvinster, men de skapar också mål för cyberattacker. I värsta fall kan hackare utnyttja bristerna för att förstöra maskiner – och potentiellt hela fabriker.

Två säkerhetsforskare, Alexander Bolshev från IOActive och Ivan Yushkevich från Embedi, ägnade förra året åt att undersöka 34 appar från företag inklusive Siemens och Schneider Electric. De hittades totalt 147 säkerhetshål i apparna, som valdes slumpmässigt från Google Play Store. Bolshev avböjde att säga vilka företag som var de värsta förövarna eller avslöja bristerna i specifika appar, men han sa att bara två av de 34 inte hade några alls.

Några av de sårbarheter som forskarna upptäckte skulle tillåta hackare att störa data som flödar mellan en app och den maskin eller process som den är länkad till. Så en ingenjör kan luras att tro att, säg, en maskin körs vid en säker temperatur när den i själva verket överhettas. Ett annat fel skulle låta angripare infoga skadlig kod på en mobil enhet så att den utfärdar oseriösa kommandon till servrar som kontrollerar många maskiner. Det är inte svårt att föreställa sig att detta orsakar kaos på ett löpande band eller explosioner i ett oljeraffinaderi.



Bolshev säger att denna kombination av appar och industriella kontrollsystem är en mycket farlig och sårbar cocktail, även om han betonar att risken kommer att variera kraftigt. Vissa företag kan ha flera felsäkra system som begränsar potentiell skada. De kan också insistera på att ingenjörer förlitar sig på flera datakällor för en maskin snarare en enda läsning från en app.

Det är dock inte helt betryggande, eftersom det finns bevis för att hackare redan har kunnat undvika bredare försvar kring tillverkningsanläggningar (se Ett nytt industrihack framhäver cyberhålen i vår infrastruktur). Och riskerna sträcker sig till andra områden; kraftverk och transportsystem ansluts också till internet. Mobilappar kan vara svaga punkter även här.

Forskarna säger att de inte har tittat på om någon av bristerna faktiskt har utnyttjats. Innan de publicerade sina resultat kontaktade de företagen vars appar hade brister. Några har redan fixat hålen; många har ännu inte svarat.



Beau Woods, innovationsstipendiat inom cybersäkerhet vid Atlantic Council, säger att det finns ett dilemma för företag. Det sista du vill ha i en nödsituation, säger han, är att operatörer ska låsas ute från ett kritiskt system, så de är designade för att vara tillgängliga på flera sätt, till exempel via mobilappar. Men att lägga till denna anslutning ger också exponering för de onda.

Dölj